Apache OFBiz路径遍历漏洞(CVE-2024-36104)

最新推荐文章于 2025-10-28 10:00:00 发布
原创 最新推荐文章于 2025-10-28 10:00:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache

部署运行你感兴趣的模型镜像

0x01 漏洞描述

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。

0x02 影响版本

Apache OFBiz < 18.12.14

0x03 FoFa语句

app="Apache_OFBiz"

0x04 漏洞复现

知识星球

无垠Sec专注安全研究,包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50,你就能得到常见系统1day漏洞POC、代码审计、漏洞分析、漏洞挖掘等

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104
0xSec
06-04 2957
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1388
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
【春秋云境】CVE-2024-45195 Apache OFbiz从未授权到RCE
最新发布
HMX404的博客
10-28 355
摘要: 本文介绍了Apache OFBiz系统的安全漏洞利用过程,针对未完全修复的身份验证绕过问题进行攻击。作者提供了详细的攻击步骤,包括使用605字符的webshell脚本和XML配置文件,通过viewdatafile接口将恶意文件写入系统。攻击成功后可在/webapp/accounting/shell.jsp路径执行任意命令。文章还提供了免费端口映射方案(FRP/cpolar)和XML配置解析说明,特别强调了length字段需要与webshell实际字符数严格匹配以避免上传失败。
【春秋云境】CVE-2024-36104 Apache OFBiz 目录遍历致代码执行漏洞
HMX404的博客
10-27 434
Apache OFBiz存在目录遍历漏洞可导致代码执行。攻击者可通过构造恶意POST请求,利用ProgramExport接口执行系统命令。实验表明,将POC中的groovyProgram参数进行Unicode编码后发送请求,成功读取服务器上的flag文件
Apache OFBiz中的XML-RPC问题
好记性不如烂笔头
06-20 1436
Apache OFBiz的XML-RPC反序列化漏洞CVE-2020-9496中,学习该知识点,并学习CVE-2023-49070如何绕过修复。顺便提一下Apache OFBiz最新的几个漏洞CVE-2023-51467、CVE-2024-32113和CVE-2024-36104。这部分内容不是XML-RPC的重点,但是既然存在逻辑连贯性,文章里就简单写一下。
【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告
smellycat000的专栏
06-06 1108
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 路径遍历漏洞漏洞编号QVD-2024-21464,CVE-2024-36104公开时间2024-06-02影响量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态已公开技术细节状态已公开危害描述:未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访...
Catalyze安全知识库
mashiro_hibiki的博客
05-21 478
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态,解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。
漏洞复现】Apache OFBiz 路径遍历导致RCE漏洞(CVE-2024-36104)
qq_67810151的博客
06-07 1069
Apache OFBiz是一个功能强大、易于定制和扩展的开源ERP系统,适用于各种类型的企业。通过利用最新的技术标准和开源项目,Apache OFBiz为企业提供了一个高效、稳定、灵活的电子商务平台解决方案。
#渗透测试#批量漏洞挖掘#Apache OFBiz代码执行漏洞(CVE-2024-38856)
soc的博客
02-17 1336
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.14及之前版本存在安全漏洞,该漏洞源于存在授权错误漏洞,从而导致未经身份验证的端点可执行屏幕渲染代码。
Apache-OFBiz远程代码执行漏洞(CVE-2024-45195)
swordheart的博客
05-15 335
Apache OFBiz存在一个严重的远程代码执行漏洞CVE-2024-45195),该漏洞源于SSRF(服务器端请求伪造)问题,允许未经身份验证的远程攻击者通过控制请求来写入恶意文件。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1264
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
Apache OFBiz 10.04.05 发布,安全漏洞修复
weixin_33957648的博客
01-21 124
"Apache OFBiz 10.04.05" 是一个 bugfix 版本,建议升级,因为该版本修复了安全漏洞 (CVE-2013-0177) OFBiz 是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务 器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套...
漏洞预警 | Apache OFBiz 服务端模板注入漏洞CVE-2025-26865)
C20220511的博客
03-14 673
Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞CVE-2025-26865)。
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
smellycat000的专栏
03-23 243
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周五,Apache Software 基金会修复了 Apache OFBiz 中的一个高危漏洞,本可导致未认证攻击者远程控制...
漏洞情报 | Apache OFBiz 远程代码执行漏洞
爱国小白帽
03-22 664
0x01 漏洞描述 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 近日,360漏洞云监测到Apache OFBiz官方披露了Apache OFBiz远程代码执行漏洞的安全通告,该漏洞出现在ofbiz/base/util/SafeObjectInputStream.java中,该功能为框架中的通用序列化处理类,未经身份验证的攻击者可构造恶意请求.
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295)
小小猪的博客
12-18 2106
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295) 介绍: OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等,OFBiz 已经正式成为 Apache
Apache-OFBiz存在路径遍历导致RCE漏洞(CVE-2024-36104)
swordheart的博客
05-15 549
ApacheOFBiz是一个由Apache基金会开发的企业级电子商务平台,支持跨平台、跨数据库和跨应用服务器的多层分布式应用。该系统基于Java,提供了一系列Web应用程序组件和工具。然而,ApacheOFBiz 18.12.14之前的版本存在一个严重的命令执行漏洞
Apache 修复严重的 OFBiz 远程代码执行漏洞
smellycat000的专栏
09-06 482
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研...
CVE-2024-36104
08-05
CVE-2024-36104 是一个影响 Apache OFBiz 的严重安全漏洞,该漏洞源于 Apache OFBiz 18.12.14 之前版本中 `org.apache.ofbiz.webapp.control.ControlFilter` 类对请求 URL 中的特殊字符(如 `;`、`%2e`)限制不当。攻击者可以利用该漏洞绕过后台功能点的过滤器验证,并通过 `/webtools/control/ProgramExport` 接口的编程导出功能执行任意 Groovy 代码,从而获取系统权限[^1]。 ### 漏洞详情 此漏洞的核心在于 Apache OFBiz 对 URL 中特殊字符的处理不当。攻击者可以通过精心构造的请求,绕过过滤器的验证机制,进而利用 `/webtools/control/ProgramExport` 接口执行任意 Groovy 代码。Groovy 是一种动态语言,允许在运行时执行任意代码,因此攻击者可以借此执行任意系统命令,获取服务器的控制权限。 ### 影响范围 CVE-2024-36104 主要影响 Apache OFBiz 18.12.14 之前的所有版本。这意味着所有使用这些版本的 Apache OFBiz 应用程序都可能受到攻击。攻击者无需身份验证即可利用此漏洞,因此其危害性较高。 ### 修复方案 为了解决此漏洞,建议采取以下修复措施: 1. **升级 Apache OFBiz**:官方已经发布了修复此漏洞的更新版本。建议用户尽快将 Apache OFBiz 升级到 18.12.14 或更高版本。该版本修复了 `ControlFilter` 类中的路径处理逻辑,确保特殊字符不会被绕过验证。 2. **临时缓解措施**:如果暂时无法升级到最新版本,可以通过修改应用程序的配置,限制 `/webtools/control/ProgramExport` 接口的访问权限。例如,可以在 Web 服务器或应用服务器层面配置访问控制列表(ACL),仅允许特定 IP 地址或子网访问该接口。 3. **输入验证**:对于无法立即升级的环境,可以考虑在应用程序中增加额外的输入验证逻辑,确保所有传入的 URL 请求都经过严格的检查,防止特殊字符被用于路径遍历攻击。 4. **安全监控**:即使采取了上述措施,也应持续监控系统的安全状态,及时发现并响应任何异常行为。可以使用入侵检测系统(IDS)或 Web 应用防火墙(WAF)来增强系统的安全性。 ### 示例代码 以下是一个简单的示例,展示如何在 Java 中实现基本的输入验证逻辑,以防止路径遍历攻击: ```java import java.util.regex.Pattern; public class InputValidator { // 正则表达式用于检测路径遍历模式 private static final Pattern PATH_TRAVERSAL_PATTERN = Pattern.compile(".*[\\$\\%2e\\;].*"); public static boolean isValidPath(String input) { return !PATH_TRAVERSAL_PATTERN.matcher(input).matches(); } public static void main(String[] args) { String testInput = "/webtools/control/ProgramExport?path=../../etc/passwd"; if (isValidPath(testInput)) { System.out.println("输入路径有效,可以继续处理。"); } else { System.out.println("输入路径包含路径遍历字符,拒绝处理。"); } } } ``` 该示例使用正则表达式检测输入字符串中是否包含路径遍历相关的特殊字符(如 `..`、`;`、`%2e`)。如果检测到这些字符,则认为输入无效,拒绝处理。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值